缺乏培訓、流程簡陋和過於熱心的服務

導致支援服務部門保安薄弱

RSA贊助的最新研究顯示社交工程攻擊仍高踞支援服務部門保安威脅榜首



新聞摘要

  • RSA 發表一項由SANS研究所進行關於支援服務部門保安和私隱問題的調查結果。
  • 受訪者包括逾900名來自世界各地不同行業,包括政府、金融、教育、保健、資訊科技及電訊業的IT專業人員。
  • 69%受訪者表示社交工程攻擊是支援服務部門面對的最大保安威脅,而近27%受訪者指出支援服務部門的保安政策薄弱。
  • 43%受訪者在訂立支援服務部門的預算時未有把保安事故所涉及的成本包括在內,反而取決於用戶數目。

主要內容

201382日,香港訊)EMC(紐約證券交易所代碼:EMC)旗下信息安全事業部RSA今日發表一項由SANS研究所進行的最新調查報告結果,強調現時支援服務部門所面對的保安和私隱問題。SANS 2013 Help Desk Security and Privacy Survey訪問了全球超過900名IT專業人員,揭露支援服務部門最常見的漏洞,並提供指引以協助企業解決這些關鍵的問題。調查結果涵蓋企業支援服務部門的流程、程序,以及對企業保安有潛在影響的員工行為。


支援服務部門經常會被用戶要求協助解決常見的IT問題,包括重置密碼和應用及連接等問題。支援服務部門人員的表現一般以他們回應來電者要求和解決有關問題的速度來衡量。但在許多情況下,由於網絡保安在這個流程中並未受到重視,支援服務部門不由自主地成為黑客和有不良動機的內部人員嘗試獲取敏感企業資源的入口。

大多受訪者(69%)指出社交工程攻擊是支援服務部門面對的最大保安威脅。然而,大部分企業仍然使用容易被入侵者盜用的基本個人資料,如姓名/位置和員工編號來辦識致電支援服務部門用戶的身份。此外,許多支援服務人員都會繞過保安措施務求對來電者提供更多協助。

除了人為因素外,缺乏培訓、工具和技術亦於支援服務部門保安方面扮演重要的角色。逾51%的受訪者表示就支援服務部門保安採用適中的方法,作為整體企業保安措施的一部分,但不一定會側重於培訓或支援日常工作的額外技術。由於大多數的預算均按服務用戶數量來決定,而非按平均通話成本或潛在保安漏洞成本計算,因此,要為新流程,額外培訓和日常支援的工具評估投資回報極為困難。其他調查結果包括:

  • 44%受訪者認為來電用戶的身份驗證風險遠超自助服務用戶 (11%)。
  • 只有10%的受訪者評定其支援服務部門的保安工作為穩健。
  • 43%受訪者在訂立支援服務部門的預算時未有把保安事故所涉及的成本包括在內,反而取決於用戶數目。

支援服務部門仍然是員工解決基本IT問題的首選。其改善用戶服務的建立宗旨導致支援服務人員經常擁有過多的特權,往往成為社交工程攻擊者和技術性黑客入侵網絡的攻擊目標。為了消除支援服務部門的漏洞,企業需要反思如何滿足用戶為求方便的需求,並同時保護系統免受威脅。建議採用的最佳方法包括:


  • 為一般用戶查詢事項提供自動化及自助服務選項-包括密碼重置,以協助減少出錯及漏洞所導致的保安缺口及數據盜竊。
  • 穩健和持續的培訓-有助支援服務人員了解如何發現和應付潛在社交工程攻擊。
  • 先進工具-利用動態數據來源和全新驗證方法,更準確地識別用戶身分及其位置。

RSA行政人員引言:

EMC旗下信息安全事業部RSA首席技術專家Sam Curry表示:「在許多情況下,支援服務部門是防禦網絡入侵的第一道防線,所以保護它與保護其他關鍵業務同樣重要。新支援服務部門需要在加強保安和方便最終用戶之間取得平衡,以直接將保安整合到工作流程中,透過加入自動化技術和企業級認證,以及提供持續培訓,減少人為錯誤。」

特別資料:

EMC簡介

EMC公司是一家領導全球的廠商,推動企業和服務供應商營運轉型,提供IT即服務。這轉型的根基是雲端運算。EMC通過創新的產品和服務,加速雲端運算之旅,幫助IT部門以更敏捷、更可信、成本效率更高的方式,儲存、管理、保護和分析他們最有價值的資產——資訊。有關EMC的更多資訊,詳情請參考網址:www.EMC.com

RSA 簡介

RSA為EMC旗下信息安全事業部,是首屈一指的資訊保安、風險及法規遵循管理解決方案供應商,協助世界領先機構解決各種最複雜和最敏感的保安挑戰,以加速其業務發展。這些挑戰包括管理機構風險,保障流動存取及協作,確保法規遵循,及保護虛擬及雲端環境。RSA結合領導業界的eGRC技術及可靠的顧問服務,提供如身份認證,數據加密及SIEM、防止數據遺失及反欺詐等關鍵業務控制的解決方案,為數以百萬計的用戶身份、交易,及其產生的相關數據提供了安全保證以及透明度。如需更多資訊,請瀏覽www.EMC.com/RSA

###












Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:缺乏培訓、流程簡陋和過於熱心的服務導致支援服務部門保安薄弱;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋